Le webcam dei nostri smartphone sono vulnerabili. E c'è solo un rimedio

Durante gli ultimi anni una nota minaccia ha afflitto gli “Instant Messengers”: la telefonata con riscatto. Essa ha come obiettivo quello di effettuare una o più fotografie del volto della vittima a seguito della sua risposta ad una telefonata anonima utilizzando la web camera integrata ed una semplice chiamata attraverso un IM come per esempio “Skype”.

L’attaccante utilizza l’immagine del volto della vittima introducendola attraverso tecniche di fotomontaggio all’interno di scene erotiche e/o compromettenti per poi richiedere periodicamente alla vittima una  “tassa” sotto forma di riscatto per non esporre tale fotomontaggio (tipicamente realizzato in modo professionale) al pubblico (social media). 

Oggigiorno questa minaccia si è evoluta notevolmente, da un lato sfruttando tecniche di exploiting e di attacco avanzato come l’utilizzo di vulnerabilità per propagare malware, dall’altro lato abbandonando apparentemente il fotomontaggio ma cogliendo la vittima direttamente sul fatto, fotografandola (a volte) durante la visione di un sito contenente materiale compromettente. 

Compromettendo i server contenenti i dati visualizzati dalla vittima (come per esempio una pagina pornografica), l’attaccante assume una potenziale postura capace di installare software malevoli (Malware) all’interno del PC della vittima avendo, così, libero accesso ad esso. In questo modo l’attaccante riesce, per esempio, a prelevare credenziali della posta elettronica, credenziali bancarie ed accessi ai social medias in utilizzo alla vittima, oppure utilizzando microfono e webcam integrata, ascoltare e/o scattare fotografie all’insaputa della vittima, per poi richiedere un riscatto per non condividere sui social media della vittima le fotografie scattate “silenziosamente” .

L'aumento esponenziale degli attacchi

Da circa meta giugno 2018 si registra un aumento esponenziale di attacchi a server web utilizzando exploiting comunemente disponibili in rete al fine di “impiantare” Malware di varia natura. Gli exploit piu utilizzati si riferiscono a vulnerabilità Microsoft IIS e su alcune versioni meno aggiornate di cPanel.

Trend Micro ha affermato che circa 2mila siti italiani sono stati compromessi attraverso tali tecniche e che sempre piu Italiani sono ricattati attraverso questa nuova evoluzione di attacco. 

Nello specifico sono state osservati numerosi tentativi di utilizzare una particolare tipo di vulnerabilità (la CVE-2017-7269) attraverso la quale un attaccante ha la possibilità di eseguire codice sul server remoto e quindi di condividere e/o modificare il materiale desiderato presentandolo come appartenente al server attaccato.

L'hacker ci porta su una pagina controllata da lui 

L’obiettivo dell’attaccante in questo primissimo stage è quello di ridirigere il browser della vittima su una pagina da lui controllata. Nel caso in cui vengano sfruttate vulnerabilità “server side” (sul server) l’attaccante puo agire direttamente sulle pagine condivise dal server senza dover dotarsi di ulteriori steps di attacco a priori. Contrariamente se l’attaccante non riesce a sfruttare le vulnerabilità CVE dirette al server ma all’applicativo installato, come per esempio cPanel, egli necessita ulteriori steps prima di poter controllare la pagina navigata dalla vittima, ma non è questo il caso affrontato nell’attacco di interesse.

Una volta ottenuto l’accesso al contenuto del sito internet, l’attaccante ha la possibilità di installare un Exploit Kit (EK) sul server compromesso. Nello specifico, per la minaccia in narrativa, l’EK piu utilizzati sono stati RIG ed MPack seguiti da alcuni timidi tentativi basati su Magnitude. RIG ha come obiettivo quello di sfruttare altre vulnerabilità, questa volta risiedenti sul browser della vittima, al fine di installare sulla macchina attaccata  un Malware. Nello specifico, RIG EK si manifesta attraverso un iFrame inserito alla nella pagina visualizzata dalla vittima capace di caricare codice sviluppato per sfruttare CVE come per esempio gli ultimi CVE-2018-4878 e CVE-2018-8174 riferiti rispettivamente ad Adobe FlashPlayer ed Explorer VBAEngine. Nel caso in cui la vittima non abbia effettivamente le vulnerabilità sopra citate sia RIG che MPack proseguono con un semplice download di file il quale, una volta aperto da parte della vittima, prova a compromettere ulteriori programmi eventualmente installati nell’host come per esempio: WinZIP, QuickTime, etc etc.

L'utilizzo della telecamera da parte dell'hacker

Al termine dell’infezione l’attaccante potrebbe sfruttare la webcamera per scattare immagini in momenti prestabiliti e potrebbe installare un keylogger per prelevare credenziali considerate importanti come per esempio quelle di posta elettronica e dei social network. 

Già, ma come è possibile dimostrare che il volto di una persona stia guardando un determinato contenuto piuttosto che un altro? Come è possibile prendere un filmato compromettente da una webcamera installata sul proprio PC avente un angolo massimo di pochi cm? Se state pensando all’unione di “screenshots” + “camshots”, siamo ancora una volta tornati nel mondo del fotomontaggio, dove l’attaccante “monta assieme” fotografie prelevate dalla camera attraverso il vero attacco con screenshots non necessariamente appartenenti alla realtà del momento.

La mail con le minacce del video e il riscatto

Quindi la minaccia descritta, è si importante in quanto potrebbe aver installato sul proprio PC un Malware reale, ma è assai improbabile che ciò che afferma l’attaccante sia corrispondente al vero, magari potrebbe essere vero in condizioni speciali come per esempio alla presenza di specchi e/o riflessi particolari, ma dubito fortemente che anche in quella circostanza vi sia abbastanza risoluzione per distinguere la vittima da una generica persona. Il seguente testo è estratto da una email ricevuta su tale minaccia:

Data: 13 luglio 2018 11:06:14 CEST

Oggetto: Re: [nome utente - password]

I will directly come to the point. I do know [YY] is your password. Most importantly, I am aware about your secret and I have evidence of this. You don't know me personally and no one employed me to check out you.

It is just your bad luck that I came across your misadventures. Well, I actually installed a malware on the adult vids (sex sites) and you visited this site to experience fun (you know what I mean). When you were busy watching video clips, your web browser started out functioning as a Rdp (Remote control desktop) with a keylogger which provided me access to your display as well as cam. Right after that, my software gathered all of your contacts from your messenger, fb, and mailbox.

After that I gave in more time than I should have into your life and created a two view video. 1st part displays the recording you were watching and next part displays the video from your web camera (its you doing dirty things).

Frankly, I am ready to forget everything about you and let you get on with your daily life. And my goal is to present you two options which will accomplish that. The above option is with the idea to ignore this letter, or simply pay me $ 2900. Let us understand these 2 options in more detail.

Option 1 is to ignore this mail. You should know what will happen if you take this path. I will send out your video to all your contacts including close relatives, colleagues, and so on. It does not help you avoid the humiliation your household will need to face when friends learn your sordid details from me.

Other Option is to send me $ 2900. We’ll name it my “privacy fee”. Now let me tell you what happens if you choose this path. Your secret remains your secret. I will destroy the recording immediately. You keep your daily life like nothing ever happened.

At this point you must be thinking, “I will complain to the police”. Let me tell you, I've covered my steps to ensure this email can't be traced to me and it will not stay away from the evidence from destroying your life. I am not planning to steal all your savings. I just want to get paid for my efforts I put in investigating you. Let's hope you decide to produce all of this vanish entirely and pay me my confidentiality fee. You'll make the payment via Bitcoins (if you don't know how, type "how to buy bitcoins" in search engine)

Amount to be sent: $ 2900

Receiving Bitcoin Address: 1KBVnnJCPMDai81kMq2sUMFPKejAo7svE9

(It is cASe sensitive, so copy and paste it carefully)

Tell no one what you will be sending the bitcoin for or they possibly will not provide it to you. The task to obtain bitcoin can take a few days so do not procrastinate.

I've a special pixel in this e mail, and right now I know that you have read this email message. You have 2 days in order to make the payment. If I don't receive the BitCoin, I will definitely send your video recording to all your contacts including close relatives, colleagues, and so forth. You better come up with an excuse for friends and family before they find out. Nonetheless, if I do get paid, I will erase the video immediately. It's a non negotiable offer, so please don't waste my time & yours. Your time has started.

Tracciando i pagamenti in BTC, si puo notare che in data 25 Luglio l’attaccante ha realizzato: 0.9866331 BTC, che in questo momento corrisponde a 6864 EURO. Non sembra, in questo momento, essere una pandemia ed appare evidente che molti abbiano compreso la difficoltà nell ‘associare un volto a cio che esso guarda senza ricorrere tecniche di fotomontaggio.

Quindi tale minaccia, se pur veritiera, nella parte di delivery di Malware, risulta sfruttare la psiche umana confondendo la razionalità della vittima nel comprendere l’impossibilità della prova sostenuta dall’attaccante.

L'unico rimedio possibile 

Tuttavia, non sempre mantenere aggiornato il livello di patching del proprio sistema e mantenere una altissima attenzione puo sventare minacce in quanto una connessione è effettuata da due entità ed entrambe devono essere “non compromesse” per garantire un alto livello di affidabilità, in oltre la curiosità è umana e non sempre si ha il tempo, la competenza, la tecnologia ed il bisogno di controllare ogni singolo click nella rete.

Per meglio sfuggire ad una parte, almeno, della minaccia descritta è consigliabile dotare il proprio PC di CameraPatching, un particolare patch rimovibile adesivo (tipicamente) da posizionare sopra alla camera del PC e/o del smartphone/tablet. Dotarsi di strumenti di individuazione delle minacce, affidarsi a specialisti del settore e provare ad appassionarsi alla materia sono solo piccoli passi ma che possono aiutare notevolmente la difesa della propria incolumità digitale.  

Se avete correzioni, suggerimenti o commenti scrivete a dir@agi.it